Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Cấu hình Route và Nat cho Router và ASA cisco

    Xin chào các bạn mình có mô hình như sau:
    Pc -- Switch L2(Chia 2 VLAN) -- (10.0.0.1/24 và 10.10.10.0/24)Router Cisco(172.16.1.1/24) --- (172.16.1.2/24) ASA (192.168.1.2/24)-- (192.168.1.1/24) Modem (WAN)
    Mình cấu hình Route default trên Router đó là: ip route 0.0.0.0 0.0.0.0 172.16.1.2
    Cấu hình Route trên ASA:
    route inside 10.0.0.0 255.255.255.0 172.16.1.1
    route inside 10.10.10.0 255.255.255.0 172.16.1.1
    route outside 0.0.0.0 0.0.0.0.0 192.168.1.1

    --> Khi mình đứng ở PC ping ra tới Router thì ok, nhưng ping không thấy được ASA
    --> Đứng trên Router thì ping thấy ASA
    --> đứng trên ASA thì ping tới Router và modem đều được và ping ra internet được

    Như vậy mình cần hỗ trợ làm sao mình có thể từ PC ping tới ASA và modem được?
    Tags: None
  • #2
    Chào bạn, trên router bạn phải thực hiện định tuyến Vlan như bài lab sau:

    Router–on-a-Stick Inter-VLAN Configuration



    Cấu hình trên SW:

    Switch

    Switch(config)#vlan 5
    Switch(config-vlan)#exit
    Switch(config)#vlan 10
    Switch(config-vlan)#exit
    Switch(config)#vlan 15
    Switch(config-vlan)#exit
    Switch(config)#interface FastEthernet0/1
    Switch(config-if)#switchport trunk encapsulation dot1q
    Switch(config-if)#switchport mode trunk

    Cấu hình trên router:

    Router(config)#interface FastEthernet0/0
    Router(config-if)#no ip address
    Router(config-if)#interface FastEthernet0/0.5
    Router(config-subif)#encapsulation dot1Q 5
    Router(config-subif)#ip add 192.168.5.1 255.255.255.0
    Router(config-subif)#interface FastEthernet0/0.10
    Router(config-subif)#encapsulation dot1Q 10
    Router(config-subif)#ip add 192.168.10.1 255.255.255.0
    Router(config-subif)#interface FastEthernet0/0.15
    Router(config-subif)#encapsulation dot1Q 15
    Router(config-subif)#ip add 192.168.15.1 255.255.255.0
    Thực hiện show cổng trên router:

    Router#sh ip int b
    Interface IP-Address OK? Method Status Protocol
    FastEthernet0/0 unassigned YES NVRAM up up
    FastEthernet0/0.5 192.168.5.1 YES manual up up
    FastEthernet0/0.10 192.168.10.1 YES manual up up
    FastEthernet0/0.15 192.168.15.1 YES manual up up
    PC đặt default-gateway về IP cổng sub của router , xong thực hiện ping đến địa chỉ cổng sub của router. Sau đó ping thử ASA và ping internet.Nếu ping ASA thành công mà không ping internet được thì thêm ACL sau để gói ICMP reply trả về cho phép chạy qua ASA.

    Access-list ping permit icmp any any echo-reply
    Access-group ping in interface outside
    Last edited by lamvantu; 08-12-2012, 10:23 AM.
    Lâm Văn Tú
    Email :     cntt08520610@gmail.com
    Viet Professionals Co. Ltd. (VnPro)
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel: (08) 35124257 (5 lines)
    Fax (08) 35124314
    Tập tành bước đi....


    Comment

    • #3
      Cảm ơn Mr.Tú,

      Các dòng command trên mình đã thực hiện ok hết rồi, default gateway đầy đủ, chia vlan, trunk...và cũng đặt ip tĩnh cho pc theo vlan để ping.
      Cái vướng mắc ở đây là mình không thể ping thấy card mạng ngoài của ASA(kết nối với modem), ngay khi đứng trên Router ping trực tiếp tới mà cũng không được.
      Không biết phần này mình có thiếu route gì hay không?
      ở đây mình dùng Router cisco 2911/k9 và ASA 5510

      Comment

      • #4
        Do ASA mặc định không cho phép ICMP, có thể bạn thiếu cấu hình access-list? bạn cấu hình thử như sau xem có ping được không.
        access-list 100 extended permit ip any nay
        access-group 100 global

        Comment

        • #5
          Originally posted by vdk View Post
          Do ASA mặc định không cho phép ICMP, có thể bạn thiếu cấu hình access-list? bạn cấu hình thử như sau xem có ping được không.
          access-list 100 extended permit ip any nay
          access-group 100 global
          Anh VDK ơi. Dòng đầu tiên thì e hiểu
          Nhưng lệnh "access-group 100 global" thì lại ko hiểu.
          A giải thích qua jup e

          :D

          Comment

          • #6
            Nó có thể thay bằng 2 câu lệnh:
            access-group 100 in interface outside
            access-group 100 in interface inside
            Nó apply cho tất cả các interface luôn (global mà). Bạn test lab lại thử xem nha.

            Comment

            • #7
              Mình đã cho phép pinh hết rồi, nếu không cho ping thì làm sao router có thể ping tới card của asa (kết nối với router) được:
              Vấn đề ở đây có thể do NAT, nhưng version 8.2 khác, 8.3 khác
              Ở đây mình xài con ASA5510 với version 8.3 và cấu hình NAT theo như dưới
              hostname(config)# object network my-range-obj
              hostname(config-network-object)# range 2.2.2.1 2.2.2.10 (IP WAN của nhà cung cấp)
              hostname(config)# object network my-inside-network
              hostname(config-network-object)# subnet 192.168.2.0 255.255.255.0
              hostname(config-network-object)# nat (inside,outside) dynamic my-range-obj

              Ở đây mình giả lập WAN của mình chỉ có 1 IP tĩnh, hoặc không có IP tĩnh thì giải quyết trường hợp này ra sao?

              Comment

              • #8
                Bạn lúc thì "Khi mình đứng ở PC ping ra tới Router thì ok, nhưng ping không thấy được ASA, Đứng trên Router thì ping thấy ASA ",
                lúc thì "Cái vướng mắc ở đây là mình không thể ping thấy card mạng ngoài của ASA(kết nối với modem), ngay khi đứng trên Router ping trực tiếp tới mà cũng không được."
                lúc thì "nếu không cho ping thì làm sao router có thể ping tới card của asa (kết nối với router) được:"
                Thực ra từ PC bạn ping tới ASA ok, chỉ là ping external ASA không được? Nếu đúng vậy thì bính thường vì đây là rule mặc định của ASA. bạn không ping external của ASA được nhưng hoàn toàn có thể ping tới modem, ra net vẫn ok.

                Comment

                • #9
                  Originally posted by jerrybu01 View Post
                  Mình đã cho phép pinh hết rồi, nếu không cho ping thì làm sao router có thể ping tới card của asa (kết nối với router) được:
                  Vấn đề ở đây có thể do NAT, nhưng version 8.2 khác, 8.3 khác
                  Ở đây mình xài con ASA5510 với version 8.3 và cấu hình NAT theo như dưới
                  hostname(config)# object network my-range-obj
                  hostname(config-network-object)# range 2.2.2.1 2.2.2.10 (IP WAN của nhà cung cấp)
                  hostname(config)# object network my-inside-network
                  hostname(config-network-object)# subnet 192.168.2.0 255.255.255.0
                  hostname(config-network-object)# nat (inside,outside) dynamic my-range-obj

                  Ở đây mình giả lập WAN của mình chỉ có 1 IP tĩnh, hoặc không có IP tĩnh thì giải quyết trường hợp này ra sao?
                  Nếu chỉ để ra net, bạn cấu hình như sau xem:
                  hostname(config)# object network my-inside-network
                  hostname(config-network-object)# subnet 192.168.2.0 255.255.255.0
                  hostname(config-network-object)# nat (inside,outside) dynamic interface

                  Comment

                  Previous template Next
                  Working...
                  X